Werken met bestaande on-premises proxyservers
Configureer Microsoft Entra-connectors voor privénetwerk om uitgaande proxyservers te gebruiken. In het artikel wordt ervan uitgegaan dat de netwerkomgeving al een proxyserver heeft.
We kijken eerst naar de volgende hoofdimplementatiescenario's:
- Configureer connectors om uw on-premises uitgaande proxy's te omzeilen.
- Configureer connectors voor het gebruik van een uitgaande proxy voor toegang tot de Microsoft Entra-toepassingsproxy.
- Configureer het gebruik van een proxy tussen de connector en de back-endtoepassing.
Zie Microsoft Entra private network connectors voor meer informatie over hoe connectors werken.
Uitgaande proxy's omzeilen
Verbinding maken ors onderliggende onderdelen van het besturingssysteem hebben die uitgaande aanvragen doen. Deze onderdelen proberen automatisch een proxyserver in het netwerk te vinden met behulp van Web Proxy Auto-Discovery (WPAD).
De onderdelen van het besturingssysteem proberen een proxyserver te vinden door een DNS-zoekactie (Domain Name System) uit te voeren voor wpad.domainsuffix. Als de zoekactie wordt omgezet in DNS, wordt er een HTTP-aanvraag verzonden naar het IP-adres (Internet Protocol) voor wpad.dat. Deze aanvraag wordt het proxyconfiguratiescript in uw omgeving. De connector gebruikt dit script om een uitgaande proxyserver te selecteren. Connectorverkeer kan echter blijven mislukken omdat er meer configuratie-instellingen nodig zijn op de proxy.
U kunt de connector zo configureren dat uw on-premises proxy wordt overgeslagen om ervoor te zorgen dat deze gebruikmaakt van directe connectiviteit met de proxyservice van de Microsoft Entra-toepassing. Directe verbindingen worden aanbevolen omdat ze minder configuratie vereisen. Voor sommige netwerkbeleidsregels is echter verkeer via een lokale proxyserver vereist.
Als u uitgaand proxygebruik voor de connector wilt uitschakelen, bewerkt u het C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config bestand en voegt u de system.net sectie toe die wordt weergegeven in het codevoorbeeld:
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy enabled="false"></defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Als u ervoor wilt zorgen dat de Verbinding maken or updater-service ook de proxy omzeilt, moet u een soortgelijke wijziging aanbrengen in het MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config bestand. Dit bestand bevindt zich op C:\Program Files\Microsoft Entra private network connector Updater.
Zorg ervoor dat u kopieën van de oorspronkelijke bestanden maakt, voor het geval u wilt terugkeren naar de standaardbestanden .config .
De uitgaande proxyserver gebruiken
Voor sommige omgevingen moet al het uitgaande verkeer, zonder uitzondering, via een uitgaande proxy lopen. Als gevolg hiervan is het omzeilen van de proxy geen optie.
U kunt het connectorverkeer zo configureren dat dit via de uitgaande proxy loopt, zoals wordt weergegeven in het volgende diagram:
Als er alleen sprake is van uitgaand verkeer hoeft u geen binnenkomende toegang via uw firewalls te configureren.
Notitie
Toepassingsproxy biedt geen ondersteuning voor verificatie voor andere proxy's. De netwerkserviceaccounts van de connector/het updateprogramma moeten verbinding kunnen maken met de proxy zonder dat dit wordt gevraagd voor verificatie.
Stap 1: configureren dat de connector en gerelateerde services via de uitgaande proxy lopen
Als WPAD is ingeschakeld in de omgeving en op de juiste wijze is geconfigureerd, detecteert de connector automatisch de uitgaande proxyserver en probeert deze te gebruiken. U kunt de connector echter expliciet zodanig configureren dat deze via een uitgaande proxy loopt.
Hiervoor bewerkt u het C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config bestand en voegt u de sectie toe die wordt weergegeven in het system.net codevoorbeeld. Wijzig proxyserver:8080 deze in overeenstemming met de naam van de lokale proxyserver of het IP-adres en de poort. De waarde moet het voorvoegsel http:// hebben, zelfs als u een IP-adres gebruikt.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy>
<proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>
</defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Configureer vervolgens de Verbinding maken or Updater-service om de proxy te gebruiken door een soortgelijke wijziging aan te brengen in het C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config bestand.
Notitie
De Verbinding maken or-service evalueert de standaardproxyconfiguratie voor gebruik in%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config, als de defaultProxy niet is geconfigureerd (standaard) in MicrosoftEntraPrivateNetwork Verbinding maken orService.exe.config. Hetzelfde geldt ook voor de Verbinding maken or Updater-service (MicrosoftEntraPrivateNetwork Verbinding maken orUpdaterService.exe.config).
Stap 2: de proxy configureren zodat verkeer van de connector en gerelateerde services kan doorstromen
Er zijn vier aspecten om rekening mee te houden bij de uitgaande proxy:
- Regels voor uitgaand verkeer van proxy
- Proxyverificatie
- Proxypoorten
- Tls-inspectie (Transport Layer Security)
Regels voor uitgaand verkeer van proxy
Sta toegang tot de volgende URL's toe:
| URL | Poort | Gebruik |
|---|---|---|
| *.msappproxy.net *.servicebus.windows.net |
443/HTTPS | Communicatie tussen de connector en de cloudservice voor de toepassingsproxy |
| crl3.digicert.com crl4.digicert.com ocsp.digicert.com/* crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | De connector gebruikt deze URL's om certificaten te verifiëren. |
| login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com |
443/HTTPS | De connector gebruikt deze URL's tijdens het registratieproces. |
| ctldl.windowsupdate.com www.microsoft.com/pkiops |
80/HTTP | De connector gebruikt deze URL's tijdens het registratieproces. |
Als uw firewall of proxy toestaat dat u DNS-acceptatielijsten configureert, kunt u verbindingen *.msappproxy.net met en *.servicebus.windows.nettoestaan.
Als u connectiviteit niet kunt toestaan door FQDN (Fully Qualified Domain Name) en in plaats daarvan IP-bereiken moet opgeven, gebruikt u deze opties:
- Uitgaande toegang van de connector tot alle bestemmingen toestaan.
- Uitgaande toegang van de connector tot alle IP-bereiken van het Azure-datacentrum toestaan. De uitdaging bij het gebruik van de lijst met IP-bereiken van Azure-datacenters is dat ze wekelijks worden bijgewerkt. U moet een proces instellen om ervoor te zorgen dat uw toegangsregels dienovereenkomstig worden bijgewerkt. Als u alleen een subset van de IP-adressen gebruikt, wordt uw configuratie verbroken. De nieuwste IP-bereiken van Azure Data Center worden gedownload op https://download.microsoft.com. Gebruik de zoekterm.
Azure IP Ranges and Service TagsZorg ervoor dat u de relevante cloud selecteert. De IP-adresbereiken van de openbare cloud zijn bijvoorbeeld te vinden door te zoeken naarAzure IP Ranges and Service Tags – Public Cloud. De Cloud van de Amerikaanse overheid is te vinden door te zoeken naarAzure IP Ranges and Service Tags – US Government Cloud.
Proxyverificatie
Proxyverificatie wordt momenteel niet ondersteund. Onze huidige aanbeveling is om de connector anonieme toegang tot de internetbestemmingen te geven.
Proxypoorten
De connector maakt uitgaande TLS-verbindingen met behulp van de CONNECT-methode. Met deze methode wordt in feite een tunnel via de uitgaande proxy ingesteld. Configureer de proxyserver om het gebruik van tunnels naar poorten 443 en 80 toe te staan.
Notitie
Wanneer Service Bus wordt uitgevoerd via HTTPS, wordt poort 443 gebruikt. Service Bus probeert echter standaard directe TCP-verbindingen (Transmission Control Protocol) uit en valt alleen terug op HTTPS als de directe verbinding mislukt.
Inspectie van TLS
Gebruik geen TLS-inspectie voor het connectorverkeer, omdat dit problemen veroorzaakt voor het connectorverkeer. De connector gebruikt een certificaat om te verifiëren bij de toepassingsproxyservice en dat certificaat kan verloren gaan tijdens TLS-inspectie.
Het gebruik van een proxy tussen de connector en de back-endtoepassing configureren
Het gebruik van een doorstuurproxy voor de communicatie naar de back-endtoepassing is een speciale vereiste in sommige omgevingen. Voer de volgende stappen uit om een doorstuurproxy in te schakelen:
Stap 1: de vereiste registerwaarde toevoegen aan de server
- Als u het gebruik van de standaardproxy wilt inschakelen, voegt u de registerwaarde (DWORD)
UseDefaultProxyForBackendRequests = 1toe aan de registersleutel voor de connectorconfiguratie inHKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector.
Stap 2: de proxyserver handmatig configureren met behulp van de netsh-opdracht
- Schakel het groepsbeleid
Make proxy settings per-machinein. Het groepsbeleid is te vinden in:Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer. Het groepsbeleid moet worden ingesteld in plaats van de beleidsset per gebruiker. - Uitvoeren
gpupdate /forceop de server. U kunt er ook voor zorgen dat het groepsbeleid wordt bijgewerkt door de server opnieuw op te starten. - Start een opdrachtprompt met verhoogde bevoegdheid en beheerdersrechten en voer
control inetcpl.cplin. - Configureer de vereiste proxy-instellingen.
De instellingen maken de connector gebruik van dezelfde doorstuurproxy voor de communicatie met Azure en de back-endtoepassing. Wijzig het bestand MicrosoftEntraPrivateNetworkConnectorService.exe.config om de doorstuurproxy te wijzigen. Proxyconfiguratie doorsturen wordt beschreven in de secties Uitgaande proxy's overslaan en de uitgaande proxyserver gebruiken.
Notitie
Er zijn verschillende manieren om de internetproxy in het besturingssysteem te configureren. Proxy-instellingen die zijn geconfigureerd via NETSH WINHTTP (uitvoeren NETSH WINHTTP SHOW PROXY om te controleren) overschrijven de proxy-instellingen die u in stap 2 hebt geconfigureerd.
De updaterservice van de connector maakt gebruik van de computerproxy. De instelling is te vinden in het MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config bestand.
Problemen met connectorproxy's en serviceconnectiviteit oplossen
Nu ziet u al het verkeer dat via de proxy stroomt. Als u problemen ondervindt, moet u de volgende informatie over probleemoplossing gebruiken.
De beste manier om verbindingsproblemen met connectors te identificeren en op te lossen, is door een netwerkopname te maken tijdens het starten van de connectorservice. Hier volgen enkele beknopte tips voor het vastleggen en filteren van netwerktraces.
U kunt het hulpprogramma voor bewaking van uw keuze gebruiken. Voor dit artikel hebben we Microsoft Message Analyzer gebruikt.
Notitie
Microsoft Message Analyzer (MMA) is buiten gebruik gesteld en de downloadpakketten zijn op 25 november 2019 verwijderd van microsoft.com-websites. Er is momenteel geen vervangend product van Microsoft voor Microsoft Message Analyzer in ontwikkeling. Voor vergelijkbare functionaliteit kunt u overwegen een hulpprogramma voor netwerkprotocolanalyse van derden te gebruiken, zoals Wireshark.
De volgende voorbeelden zijn specifiek voor Message Analyzer, maar de principes kunnen worden toegepast op elk analysehulpprogramma.
Een opname maken van connectorverkeer
Voer voor de eerste probleemoplossing de volgende stappen uit:
Stop
services.mscde microsoft Entra Private Network Connector-service.
Voer Message Analyzer uit als beheerder.
Selecteer Lokale trace starten.
Start de microsoft Entra Private Network Connector-service.
Stop de netwerkopname.
Controleer of het connectorverkeer uitgaande proxy's omzeilt
Als u verwacht dat de connector directe verbindingen maakt met toepassingsproxyservices, SynRetransmit zijn antwoorden op poort 443 een indicatie dat u een netwerk- of firewallprobleem hebt.
Gebruik het Message Analyzer-filter om mislukte TCP-verbindingspogingen (Transmission Control Protocol) te identificeren. Voer property.TCPSynRetransmit in het filtervak in en selecteer Toepassen.
Een synchronisatiepakket (SYN) is het eerste pakket dat wordt verzonden om een TCP-verbinding tot stand te brengen. Als dit pakket geen antwoord retourneert, wordt het SYN-pakket opnieuw geprobeerd. U kunt het filter gebruiken om eventuele opnieuw verzonden SYN-pakketten weer te geven. Vervolgens kunt u controleren of deze SYN-pakketten overeenkomen met verkeer met betrekking tot connectors.
Controleer of het connectorverkeer uitgaande proxy's gebruikt
Als u het verkeer van uw privénetwerkconnector hebt geconfigureerd om de proxyservers te doorlopen, zoekt u naar mislukte https verbindingen met uw proxy.
Gebruik het Filter Message Analyzer om mislukte HTTPS-verbindingspogingen met uw proxy te identificeren. Voer (https.Request or https.Response) and tcp.port==8080 het Message Analyzer-filter in en vervang deze 8080 door uw proxyservicepoort. Selecteer Toepassen om de filterresultaten weer te geven.
Het voorgaande filter toont alleen de HTTPs-aanvragen en antwoorden op/van de proxypoort. U bent op zoek naar de CONNECT-aanvragen die communicatie met de proxyserver tonen. Als het lukt, krijgt u het antwoord HTTP OK (200).
Als u andere antwoordcodes ziet, zoals 407 of 502, betekent dit dat voor de proxy verificatie is vereist of dat verkeer om een andere reden niet wordt toegestaan. Op dit moment neemt u contact op met het ondersteuningsteam van uw proxyserver.